Update: Das Security Update 2011-005 erledigt den gleichen Job.
Heute löschen wir das Root-Zertifikat von DigiNotar aus den Niederlanden. Weil: die wurden gehackt. Sie waren also nicht sicher genug und wollen doch Sicherheit garantieren, wenn im Browser das Protokoll „https“ anliegt. Da geht es um Prinzipien.
30. August 2011:
On July 19th 2011, DigiNotar detected an intrusion into its Certificate Authority (CA) infrastructure, which resulted in the fraudulent issuance of public key certificate requests for a number of domains, including Google.com. [vasco.com/company/press_room ..]
31.8: CA-Hack: Noch mehr falsche Zertifikate
5.9: Niederländische Regierung übernimmt Kontrolle über DigiNotar
6.9: DigiNotar-Hack: Kritische Infrastruktur war unzureichend geschützt
7.9: DigiNotar-Hack: GlobalSign stellt vorerst keine Zertifikate mehr aus
Unser persönliches Fazit kann daher nur lauten, keine Zertifikate von DigiNotar mehr zu akzeptieren, indem das Root-Zertifikat einfach gelöscht wird. Dazu begeben wir uns in das Programm Keychain (Schlüsselbundverwaltung), markieren dort erst rechts oben die System-Roots und dann rechts unten die Zertifikate und suchen „DigiNotar“. Nun noch einmal auf die Rückschritttaste und nach Bestätigung durch das Admin-Passwort sind die Zertifikate der unsicheren Holländer Geschichte.
[…] die Zertifizierungsstelle diginotar.nl kompromittiert wurde, sind die Browser und PCs inzwischen gesichert. Nicht so allerdings Google Chrome auf Android und das Apple iOS. Während zu erwarten ist, dass […]